java 板


LINE

:



※ 發信站: 批踢踢實業坊(ptt.cc)
: ◆ From: 123.193.201.124 : → cyclone350:前面Order的例子是參考王者歸來的書 03/13 22:46 : → qrtt1:為什麼不檢查 order user == current user 就好? 03/14 08:22 : → cyclone350:我想問的就是如何有效果的達到這件事 03/14 08:58 : → qrtt1:session, token, https !? 03/14 09:32 q大所提的算是很實際的已知條件 前篇文章一開始有提及說,我們可以在每次set前都檢查User資料 current user資料包含從Session拿... 從https拿... 或是從DB撈值判斷, anyway,這種很實際的說法被我省略掉了, 因為不論如何,這種作法都必須在set前做檢查。 在DynamicProxy作法裡,set必須多傳一個參數進去,如何把參數傳進去 當然是可透過技術上的方式,例如在set前透過session抓到current user 抓到後再呼叫 setProductName("theName",user)。 應該說我要問的的確跟技術有點關係,但我想達到的目標比較像是設計方法 讓我分派下去的PG可以著重在商業邏輯撰寫,而不是在邏輯撰寫中夾雜 許多權限的分派,或記憶體控管之類等等.... 也就是問問看是否有更AOP的作法 其中JSR250我說"可以理解",意思是使用@RolesAllowed("ROLE_ADMIN") 背後做法可以去整個 applicationContext 或 webContainer 去拿到 current user 如何拿當然包刮 session, https, db ... 之類的 但是這個值是死的,我只能判斷 current user 是不是等於 ROLE_ADMIN 想要動態的方式如下 例如像是這樣 public class order { @Owner private String orderUser; private String productName; @AllowByOwner public void setOrderUser(String orderUser) { this.orderUser = orderUser; } @AllowByOwner private void setProductName(String productName) { this.productName = productName } } 可是這樣子要如何在背後程式實作,我是沒有想法的... 我可以從各種方式抓到 current user... 但是我不知道如何用哪種方式抓到 order user... 我也不確定透過反射機制是否可以達到這樣的做法 雖然我訂了 @Owner 介面,但是不知道如何實作 也許我沒理解q大所要回答的意思 主要還是在問更彈性的設計來達到security的效果。 --



※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.218.64.133
1F:→ qrtt1:order 建立時,會記錄下 order 與 user 對應關係。這樣就有 03/14 10:50
2F:→ cyclone350:http://ppt.cc/Sqil 這是spring對@RolesAllowed的實作 03/14 10:51
3F:→ qrtt1:查出 order owner 的方法了。檢查二者是否一致,是怕 owner 03/14 10:51
4F:→ qrtt1:把它的 url 給人(或被偷了)。做 token 驗證也可以防不合法 03/14 10:52
5F:→ qrtt1:的存取。不過,用 aop 或 filter 能做到查核操作 flow 03/14 10:53
6F:→ qrtt1:是不是屬於正常的情況。 03/14 10:53
7F:→ qrtt1:當然,可能我想太簡單,你想太複雜 :P 所以,搭不上線 orz 03/14 10:54
8F:→ cyclone350:我想我理解q大的意思了。我再去研究spring security 03/14 23:38
9F:→ cyclone350:有沒有功能符合這種需求。 03/14 23:40
10F:→ qrtt1:ps. 我只是一般而論,俺沒用 spring security 的經驗qq 03/15 10:00
11F:推 kiwatami:同意q大 session + user-order的mapping物件就可以解決 03/29 22:51







like.gif 您可能會有興趣的文章
icon.png[問題/行為] 貓晚上進房間會不會有憋尿問題
icon.pngRe: [閒聊] 選了錯誤的女孩成為魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一張
icon.png[心得] EMS高領長版毛衣.墨小樓MC1002
icon.png[分享] 丹龍隔熱紙GE55+33+22
icon.png[問題] 清洗洗衣機
icon.png[尋物] 窗台下的空間
icon.png[閒聊] 双極の女神1 木魔爵
icon.png[售車] 新竹 1997 march 1297cc 白色 四門
icon.png[討論] 能從照片感受到攝影者心情嗎
icon.png[狂賀] 賀賀賀賀 賀!島村卯月!總選舉NO.1
icon.png[難過] 羨慕白皮膚的女生
icon.png閱讀文章
icon.png[黑特]
icon.png[問題] SBK S1安裝於安全帽位置
icon.png[分享] 舊woo100絕版開箱!!
icon.pngRe: [無言] 關於小包衛生紙
icon.png[開箱] E5-2683V3 RX480Strix 快睿C1 簡單測試
icon.png[心得] 蒼の海賊龍 地獄 執行者16PT
icon.png[售車] 1999年Virage iO 1.8EXi
icon.png[心得] 挑戰33 LV10 獅子座pt solo
icon.png[閒聊] 手把手教你不被桶之新手主購教學
icon.png[分享] Civic Type R 量產版官方照無預警流出
icon.png[售車] Golf 4 2.0 銀色 自排
icon.png[出售] Graco提籃汽座(有底座)2000元誠可議
icon.png[問題] 請問補牙材質掉了還能再補嗎?(台中半年內
icon.png[問題] 44th 單曲 生寫竟然都給重複的啊啊!
icon.png[心得] 華南紅卡/icash 核卡
icon.png[問題] 拔牙矯正這樣正常嗎
icon.png[贈送] 老莫高業 初業 102年版
icon.png[情報] 三大行動支付 本季掀戰火
icon.png[寶寶] 博客來Amos水蠟筆5/1特價五折
icon.pngRe: [心得] 新鮮人一些面試分享
icon.png[心得] 蒼の海賊龍 地獄 麒麟25PT
icon.pngRe: [閒聊] (君の名は。雷慎入) 君名二創漫畫翻譯
icon.pngRe: [閒聊] OGN中場影片:失蹤人口局 (英文字幕)
icon.png[問題] 台灣大哥大4G訊號差
icon.png[出售] [全國]全新千尋侘草LED燈, 水草

請輸入看板名稱,例如:Boy-Girl站內搜尋

TOP